( 🇬🇧 This page is available in English: [[dns-blocklist-en|DNS Block List]] ) ====== Listes de blocage DNS ====== Le filtrage DNS est un moyen simple pour bloquer une majorité de publicités, traqueurs et sites malveillants avec un minimum d'efforts. La mise en place est rapide et facilement réversible. Pour être franc, c'est le genre de chose que j'installerais d'office chez tous les amis et la famille, que ce soit sur ordinateur ou smartphone. Cela réduit notablement le pourrissement des machines (publicité, spyware, malware, tracking...). Avantages du filtrage DNS: {{ :dns-blocklist:panneau-sens-interdit.png?nolink&150|}} * Filtre une très grande quantité de publicités/tracking/malware sans logiciel à ajouter (Exception: Sous Android il faut ajouter un logiciel). * Fonctionne sous tous les OS (Windows, Linux, MacOSX...) * Fonctionne dans toutes les applications (et pas //que// dans le navigateur). * **Sous Android, permet d'éliminer d'un coup la quasi-totalité des publicités et traqueurs, y compris dans les applications.** * Applicable poste par poste, ou sur un réseau complet si vous le configurez dans votre routeur (pi-Hole, pfSense, etc.) * Très facile à mettre en place. * Rapide. Inconvénients: * Ne filtre pas //tout//. * Il n'est pas impossible que certaines applications se chargent de faire elles-mêmes la résolution DNS, contournant ainsi votre blocage DNS. Pas d'inquiétude à avoir, la mise en place est facilement réversible. À titre d'exemple, une page de Clubic qui fait 2 Mo se réduit à 594 ko en activant juste cette liste. Cela permet donc un chargement plus rapide des pages et une réduction de la consommation de votre forfait, même si vous utilisez un navigateur qui n'est pas capable de filtrer. ---- ===== Liste ===== URL à utiliser: **https://sebsauvage.net/hosts/hosts** Cette liste est disponible dans 3 formats différents (fichier hosts, filtre AdGuard/uBlockOrigin, ou liste brute). Voir ci-dessous. ==== Que bloque cette liste ? ==== * Publicités web (//smartadserver.com, doubleclick.net, googleadservices.com, googlesyndication.com, tradedoubler.com, adbrite.com, yimg.com(YahooAds)...//), y compris les domaines spécifiques à certains sites (//ad.paypal.com, ad.foxnetworks.com, ads.sun.com...//), ainsi que la publicité et trackers first-party. * Malvertising (réseaux publicitaires connus pour distribuer des vers, chevaux de Troie...) (//adshufffle.com, conduit.com...//) * Publicité dans les applications mobiles (//admob.com, inmobi.com, mopub.com, adinfuse.com...//) * Analytics/statistiques/marketting/tendances web (//google-analytics.com, scorecardresearch.com, quantserve.com...//) * Analytics/statistiques d'applications mobiles (suivi des applications, statistiques utilisateur, rapports de plantage...) (//crashlytics.com, applovin.com, flurry.com...//) * Analytics/tracking des fabricants de téléphone (//nmetrics.samsung.com, sdkconfig.ad.xiaomi.com, tracking.intl.miui.com...//) * Services de tracking (canvas fingerprinting, evercookies...). * Trackers first-party. * Badges et boutons sociaux (//addthis.com, badges.instagram.com, badge.stumbleupon.com...//) * Compteurs de sites web (//sitemeter.com, free-counter.co.uk, webcounter.com, statcounter.com...//) * Sites frauduleux ou distribuant des malwares (//goggle.com, googfle.com, antivirus-scanner.com, adblock.fr, audacity.fr, myfuncards.com...//) * Sites liés aux campagnes de phishing (//amazon-assistance.fr, ameli-assurances-vitale.fr, ame1ie.fr, amendes-gouvfr.fr, espace-impots-gov.fr...//) * Sites qui vous enferment dans une boucle de popups. * Sites de téléchargement non fiables (//softonic.com...//) * Sites liés à des campagnes de spam (//buy-viagra.go.to, cheap-valium.polybuild.ru, forex-market.hut1.ru, norton-antivirus-trial.searchservice.info...//) * Sites conçus pour choquer (//goatse, 2girls1cup...//) * Domaines liés au reporting/tracking Windows 10 (//reports.wes.df.telemetry.microsoft.com, feedback.microsoft-hohm.com, telemetry.appex.bing.net, statsfe2.ws.microsoft.com...//) ==== Sources ==== Cette liste de blocage est une agrégation des listes suivantes: * https://adaway.org/hosts.txt * https://someonewhocares.org/hosts/hosts * https://winhelp2002.mvps.org/hosts.txt * https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=1&mimetype=plaintext * https://hostfiles.frogeye.fr/firstparty-only-trackers-hosts.txt * https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts * https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt * https://justdomains.github.io/blocklists/lists/easyprivacy-justdomains.txt * https://justdomains.github.io/blocklists/lists/adguarddns-justdomains.txt * https://justdomains.github.io/blocklists/lists/nocoin-justdomains.txt * https://small.oisd.nl/ * https://blocklistproject.github.io/Lists/phishing.txt * https://blocklistproject.github.io/Lists/ransomware.txt * https://dl.red.flag.domains/red.flag.domains.txt * https://mirror.cedia.org.ec/malwaredomains/justdomains * https://mirror.cedia.org.ec/malwaredomains/immortal_domains.txt * https://www.malwaredomainlist.com/hostslist/hosts.txt * https://raw.githubusercontent.com/notracking/hosts-blocklists/master/dnscrypt-proxy/dnscrypt-proxy.blacklist.txt * https://blocklistproject.github.io/Lists/tracking.txt La liste de blocage est disponible dans plusieurs formats: ^ URL ^ Notes ^ | **https://sebsauvage.net/hosts/hosts** \\ **[RECOMMANDÉ]** | Format hosts (//''0.0.0.0 hostname''//) \\ **Adapté à Android et aux ordinateurs** \\ Ce fichier hosts fonctionne tel quel sous Windows, Linux et dans personalDNSFilter/DNS66 sous Android. | | **https://sebsauvage.net/hosts/hosts-adguard** | Format AdGuard/uBlock-Origin (//''||hostname^''//) \\ **Adapté à Android et aux ordinateurs** \\ Cette liste peut être utilisée dans AdGuard (sur Android) ou uBlock-Origin (utiliser "Importer" dans l'onglet "Liste de filtres") | | **https://sebsauvage.net/hosts/raw** | Format brut (//''hostname''//) (juste la lise des domaines, sans entête) Peut également être utilisé tel quel dans personalDNSFilter sur Android. | === Liste blanche === Ces listes de blocage faisant occasionnellement des erreurs, certains domaines ont été mis en liste blanche afin qu'ils ne soient jamais bloqués même si présents dans une des listes constitutives. Ces domaines ne seront donc jamais bloqués par ma liste. ^Domaine^Raison^ |sebsauvage.net|Mon domaine afin que la mise à jour de la liste elle-même ne soit pas bloquée| |proxad.net|Hébergeur professionnel de sites web (Branche de Free.fr)| |commentcamarche.net|Site de tutoriels et entraide informatique| |www.commentcamarche.net|Site de tutoriels et entraide informatique| |mail.gandi.net|Serveur de mail d'un des plus importants hébergeurs français| |c.orange.fr|Domaine lié au webmail d'Orange| |iapref.orange.fr|Domaine lié au webmail d'Orange| |iapref.wanadoo.fr|Domaine lié au webmail d'Orange| |metric.gstatic.com|Des sous-domaines sont utilisés pour DoT (DNS-over-TLS)| |ssl0.ovh.net|Serveurs de mail hébergés chez OVH| |60gp.ovh.net|Serveurs de mail hébergés chez OVH| |vboxsvr.ovh.net|Serveurs mutualisés OVH| |cdn.tagcommander.com|Nécessaire pour le site LaPoste| |ae01.alicdn.com|Nécessaire pour l'affichage des images dans AliExpress| |www.sugarsync.com|Nécessaire pour la synchronisation avec le Cloud SugarSync| |lilo.org|Moteur de recherche| |www.ismonaco.org|Université| |cpc.cx|Raccourcisseur d'URL du site CanardPC.| |simplelogin.fr, simplelogin.io|Système de mails antispam| |go.icann.org|Autorité de régulation| |idp.impots.gouv.fr|Impôts gouvernement français| |ipfs.scalaproject.io|Gateway IPFS| |app.simplelogin.io|Email antispam| |t.co|Raccourcisseur d'URL de Twitter| |transfer.sh|Plateforme de transfer de fichiers| |woopic.com|CDN utilisé par le FAI Sosh| |pushbullet.com|API d'automatisation| |l.bfmtv.com|URLs courtes de BFMTV| \\ PS: Si vous trouvez un domaine bloqué par erreur, merci de me le signaler (voir [[accueil#contact|comment me contacter]]). ---- ===== Installation ===== ==== Linux / MacOSX ==== Vous pouvez coller le [[https://sebsauvage.net/hosts/hosts|contenu de la liste]] à la fin de votre fichier ''hosts'' qui est situé là : ''/etc/hosts'' Note: Certaines distributions exigent d'avoir en début de fichier hosts ''127.0.0.1 nomDeLaMachine''. Vous pouvez coller la liste de blocage à la suite de ces lignes. Si vous voulez que la mise à jour soit automatique, vous pouvez utiliser le script suivant. Il vous suffit de le placer par exemple dans ''/etc/cron.weekly/'' pour qu'il soit exécuté toutes les semaines et de le rendre exécutable (''sudo chmod +x hosts-update''): #!/bin/bash # Met à jour la liste de blockage du fichier hosts. logger "hosts-update: Mise à jour du fichier hosts." tempname=`mktemp` echo "127.0.0.1 `hostname`" > $tempname echo "127.0.1.1 `hostname`" >> $tempname printf "\n\n" >> $tempname curl --fail https://sebsauvage.net/hosts/hosts >> $tempname res=$? if test "$res" != "0"; then logger "hosts-update: Impossible de récupérer la mise à jour de la liste de filtrage DNS (hosts) : $res" rm $tempname exit 1 fi mv /etc/hosts /etc/hosts.old mv $tempname /etc/hosts chmod 0644 /etc/hosts logger "hosts-update: Mise à jour du fichier hosts terminée." Pour installer, il vous suffit de taper ces 2 commandes:sudo curl "https://sebsauvage.net/wiki/doku.php?do=export_code&id=dns-blocklist&codeblock=0" -o /etc/cron.weekly/hosts-update sudo chmod +x /etc/cron.weekly/hosts-update Et vous pouvez lancer immédiatement la mise à jour:sudo /etc/cron.weekly/hosts-update ==== Windows ==== Windows est une bouse infâme au niveau de la gestion du réseau : Il semble qu'avec un fichier ''hosts'' conséquent, le système (et certains applications) se mettent à ramer, là où ce genre de manipulation ne pose aucun soucis sous tous les autres systèmes d'exploitation. Du coup, même si c'est faisable, la manipulation décrite dans cette page va potentiellement faire ramer votre machine. Parce que Windows est infoutu de gérer un fichier hosts de 10 Mo. (Je ne vous dirai de passer sous Linux mais vous savez ce que je pense de Windows...) Sous Windows, il semblerait que le service "Client DNS" pose problème (il part en vrille quand il y a trop de lignes dans le fichier //hosts//). C'est juste un cache DNS. La résolution DNS fonctionne très bien sans. Allez dans les services (''services.msc'') et **désactivez** le service (clic droit > Propriétés > Type de démarrage: Désactivé) puis redémarrez **avant** d'installer cette liste. \\ Gag: À partir de Windows 10, même en administrateur, vous n'avez plus le droit de couper le service. Dans ce cas, lancez ''regedit'' et mettez la valeur ''4'' (=disabled) dans ''HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Start'' et redémarrez. \\ \\ Désactivez impérativement le service ''Client DNS'' **avant** d'installer cette liste. Vous êtes prévenu·e. Vous pouvez coller le [[https://sebsauvage.net/hosts/hosts|contenu de la liste]] à la fin de votre fichier ''hosts'' qui est situé là: ''C:\Windows\System32\drivers\etc\hosts'' (il vous faudra les droits administrateur). Si la modification n'est pas prise en compte essayez ''ipconfig /flushdns'' dans un terminal. Pour automatiser la mise à jour de cette liste, suivez [[dns-blocklist-win|ces instructions]]. ==== Android ==== Il existe plusieurs applications capables de d'aller chercher une liste de filtrage et l'appliquer. Notez que ces applications utilisent la fonctionnalité VPN d'Android, car c'est le seul moyen pour une application de recevoir tout le trafic réseau des autres applications. Vous pouvez utiliser: * **[[https://f-droid.org/fr/packages/dnsfilter.android/|personalDNSFilter]]** (sur F-Droid) **[RECOMMANDÉ]** * [[https://f-droid.org/fr/packages/org.jak_linux.dns66/|DNS66]] (sur F-Droid) Ces applications de blocage utilisant la fonction de VPN d'Android, vous ne pouvez donc pas avoir à la fois votre VPN activé **//et//** une de ces trois applications. Vous devez choisir entre VPN et filtrage. \\ (Si vous savez comment bloquer une liste de hosts dans la configuration du client OpenVPN, je suis intéressé.) Dans chacune de ces applications, désactivez les différentes sources et ajoutez https://sebsauvage.net/hosts/hosts Si vous le souhaitez, voici les **[[dnsfilter|instructions pas à pas]]** pour installer DNSFilter sur votre téléphone. En complément, vous pouvez configurer ces logiciels pour utiliser les [[dns-alternatifs|résolveurs DNS alternatifs]] de votre choix (par exemple Quad9 qui bloque en temps réel les botnets, ce qui ajoute une sécurité). ---- ===== Mise à jour ===== Je conseille de mettre à jour toutes les semaines. \\ Sous Android, //personalDNSFilter// et //DNS66// ont une option pour mettre à jour automatiquement. ---- ===== Sécurité ===== Que cela soit clair : L'utilisation d'une liste de blocage DNS **ne suffit pas** pour vous protéger. Vous devez: * Continuer à mettre à jour votre système d'exploitation **et** les applications. * Continuer à utiliser des extensions de filtrage dans les navigateurs (uBlock-Origin ou équivalent) * Sous Windows, continuer à utiliser un anti-malware (celui fourni avec Windows fera l'affaire. Passez un coup de //MalwareBytes// (versoin gratuite) de temps en temps). * Veiller à ne pas télécharger n'importe quoi. * Faire des backups ! ---- ===== FAQ ===== * //Quelle application Android recommandes-tu ?// * personalDNSFilter est très léger et fait un excellent boulot. * //Pourquoi ton fichier hosts est en 0.0.0.0 au lieu de 127.0.0.1 ?// * 0.0.0.0 est une adresse valide, mais non routable. Tenter de la joindre échouera immédiatement. Ce qui n'est pas le cas de 127.0.0.1 qui ajoute un peu de latence. * //Pourquoi pas ajouter la liste X ?// * //[[https://github.com/EnergizedProtection/block|Energized]] ?// * Elle est abusive (elle bloque www.commentcamarche.net, un site d'informatique) * //[[https://hosts-file.net/emd.txt|Malwares]] de chez hosts-file.net ?// * Elle est abusive (elle bloque mail.gandi.net, le serveur de mail de l'hébergeur Gandi) * //Il se passe quoi quand un site est bloqué ?// * Votre navigateur va juste afficher "site introuvable" comme si le site n'existait pas. * //À quelle fréquence la liste de blocage est mise à jour sur ton site ?// * Tous les jours. * //Oui mais si ton site disparaît ?// * Mon site est en ligne depuis plus longtemps que Facebook et Twitter. Ça vous va ? ----